Certificazione di prodotto per la cyber security: ecco le nuove regole europee
2024-2-7 00:16:45 Author: www.cybersecurity360.it(查看原文) 阅读量:7 收藏

SICUREZZA NAZIONALE

Lo schema di certificazione di prodotto per la cyber security adottato dalla Commissione europea offre indicazioni e requisiti vincolanti sulle azioni da attuare a livello hardware e software per garantire la sicurezza dei dispositivi e renderli più affidabili per gli utenti. Ecco che c’è da sapere

Pubblicato il 06 Feb 2024

La Commissione europea ha finalmente adottato lo schema di certificazione di prodotto per la cyber security basato sui Common Criteria (EUCC) per certificare i prodotti ICT nel loro ciclo di vita e renderli più affidabili per gli utenti.

La certificazione riconosce formalmente che tali prodotti siano affidabili nel proteggere sia la componente hardware che quella software di tutti quegli asset impiegati quotidianamente.

Come sostenuto anche da Thierry Breton, Commissario per il Mercato interno: “oggi avviamo un nuovo quadro per garantire che i prodotti che utilizziamo in alcuni degli ambienti più sensibili, come i router e le carte d’identità, siano sicuri dal punto di vista informatico. Vogliamo che i nostri cittadini, le nostre imprese e il settore pubblico possano fidarsi dei prodotti su cui si basano per mettere in sicurezza le loro reti e fornire servizi pubblici sensibili”.

Prodotti ICT, adottato il primo schema di certificazione: così cambia la postura cyber europea

Certificazione di prodotto per la cyber security: come funziona

Lo schema copre livelli definiti “sostanziali” o “alti”: i certificati EUCC di livello sostanziale corrispondono a certificati che coprono i livelli 1 e 2 degli AVA_VAN, ossia i livelli di sicurezza delle analisi di vulnerabilità collegate ai Common Criteria.

Industry4.0 360SummIT: l'innovazione come leva contro l'incertezza. Ti aspettiamo online!

I certificati EUCC di livello alto corrispondono a certificati che coprono i livelli 3, 4 e 5 degli AVA_VAN.

Il sistema adottato si basa su un progetto elaborato dall’Agenzia dell’Unione europea per la cyber security (ENISA) in stretta collaborazione con gli esperti del settore e gli Stati membri.

Lo strumento legislativo andrà ad integrare il regolamento Cyber resilience act che introduce dei requisiti di cyber security vincolanti per tutti i dispositivi elettronici nell’Unione europea.

Insieme al sistema di certificazione, la Commissione pubblicherà anche il programma di lavoro progressivo dell’Unione per la certificazione europea della cybersicurezza che delinea la visione e le riflessioni strategiche relative a possibili ambiti per i futuri sistemi europei di certificazione della cyber security, tenendo conto dei recenti sviluppi legislativi e di mercato.

I protection profile adottati per la certificazione di prodotto

I certificati saranno basati su protection profile come già previsto dallo standard dei Common Criteria. I prodotti ICT che saranno sottoposti a certificazione verranno analizzati secondo quanto riportato negli allegati allo schema pubblicato, l’uso previsto per il dispositivo e i rischi ad esso associati secondo quanto previsto dal Cyber security Act 881/2019.

Il produttore che sottopone un dispositivo alla certificazione potrà fornire informazioni relative a certificazioni già ottenute o altre forme di verifica.

Nello schema sono riportati tutti i contenuti di eventuali certificati che verranno rilasciati e dei marchi e delle label che potranno essere apposti sul prodotto per l’immissione sul mercato. Un certificato durerà 5 anni e poi dovrà comunque essere aggiornato o ritirato.

Lo schema prevede una parte dedicata ai protection profile, alla loro emanazione e al loro riconoscimento nonché alle regole per l’emanazione e il ritiro di protection profile sulla base dei quali potranno essere emanati certificati di sicurezza.

Le autorità nazionali per la valutazione di conformità

Sono previste autorità nazionali di valutazione di conformità che rilasceranno i certificati nei vari Stai Membri.

Il ruolo del CVCN in Italia

In Italia il CVCN avrà sicuramente questo ruolo secondo quanto previsto dai decreti già emanati che dovranno poi essere ratificati con l’applicazione del nuovo schema europeo.

Il CVCN ha anche capacità di redigere schemi nazionali laddove lo ritenesse opportuno per l’applicazione delle norme in vigore.

Le autorità nazionali potranno istituire organismi di certificazione sul territorio nazionale per le valutazioni di livello sostanziale.

Il regolamento dello schema prevede anche l’istituzione di ITSEF, Information Technology Security Evaluation Facility che potranno effettuare valutazioni di livello alto. Il processo di accreditamento degli organismi e degli ITSEF sarà curato dalle authority e comunicato all’Unione Europea, come pure le caratteristiche degli organismi e degli ITSEF accreditati.

Cosa comporta la non aderenza a un certificato di prodotto

I certificati saranno monitorati dagli organismi di certificazione, nonché attraverso un processo di controllo dei prodotti da parte dei produttori che saranno tenuti ad analizzare le vulnerabilità e comunicare eventuali nuove vulnerabilità dei prodotti certificati.

La non aderenza al certificato comporterà il ritiro del certificato stesso. Tutta la gestione e l’emanazione dei certificati è basata sulla analisi delle vulnerabilità e quindi sulla analisi dei rischi.

Come cambierà la certificazione di prodotto in Italia

Lo schema sarà rivisto sulla base delle decisioni dell’ECCG, il comitato interstatuale per lo schema di cyber security di prodotto.

Il mutuo riconoscimento dello schema dovrà essere richiesto e negoziato Paese per Paese e l’Europa dovrà impegnarsi al fine di far entrare il nuovo EUCC nelle alleanze come la SOG IS.

Per capirci, la situazione anteriore alla pubblicazione di questo schema già vedeva l’esistenza in molti Paesi, compresa l’Italia, di schemi di certificazione common criteria.

Dal 1995 esiste in Italia uno schema per la certificazione della sicurezza di sistemi/prodotti ICT, utilizzabile esclusivamente nell’ambito della sicurezza nazionale (sistemi/prodotti ICT che trattano informazioni classificate).

Nel 2003, con la creazione dell’OCSI presso l’ISCOM, Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione, è stato istituito un secondo Schema Nazionale idoneo a fornire servizi di certificazione a tutti i settori che non afferiscono a tale contesto. La struttura degli schemi è basata sugli standard di riferimento Common Criteria ed ITSEC.

L’OCSI è oggi nell’ACN.

Le certificazioni OCSI seguivano i livelli 1-7 dei common criteria internazionali, ma tipicamente lavorano i livelli da 1 a 4, mentre l’Autorità Nazionale della Sicurezza del DIS certifica i livelli più alti tipicamente usati per gli apparati che trattano dati classificati.

L’OCSI era poi parte del SOG-IS MRA (Senior Officials Group – Information Systems Security, Mutual Recognition Agreement), alleanza internazionale per il mutuo riconoscimento dei certificati di sicurezza nazionali per prodotti e sistemi ICT basati su Common Criteria e ITSEC.

Cosa si può chiedere a ChatGPT? Scarica la guida 2023: consigli per l’uso, esempi ed opinioni

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/cybersecurity-nazionale/certificazione-di-prodotto-per-la-cyber-security-ecco-le-nuove-regole-europee/
如有侵权请联系:admin#unsafe.sh